Plataforma
go
Componente
github.com/esm-dev/esm.sh
Corrigido em
136.0.1
136.0.1
Uma vulnerabilidade de Inclusão de Arquivo (File Inclusion) foi descoberta em github.com/esm-dev/esm.sh, permitindo que um atacante inclua arquivos arbitrários. Essa falha pode levar à execução de código malicioso no sistema afetado. A vulnerabilidade afeta versões anteriores a 136.0.1 e foi publicada em 24 de setembro de 2025. A atualização para a versão 136.0.1 resolve a vulnerabilidade.
A inclusão de arquivos arbitrários permite que um atacante inclua arquivos maliciosos no processo de execução do esm.sh. Isso pode resultar na execução de código arbitrário no contexto do processo, permitindo que o atacante comprometa o sistema. O impacto potencial inclui roubo de dados confidenciais, modificação de arquivos e instalação de malware. A exploração bem-sucedida pode levar ao controle total do sistema, especialmente se o esm.sh for executado com privilégios elevados. A natureza da vulnerabilidade a torna particularmente perigosa, pois um atacante pode potencialmente injetar código em qualquer ponto do processo de execução.
A vulnerabilidade foi publicada em 24 de setembro de 2025. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a sua presença em um componente amplamente utilizado. Não há evidências de exploração ativa no momento da publicação, mas a disponibilidade de um Proof of Concept (PoC) pode aumentar o risco. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a esta vulnerabilidade.
Applications and services that rely on esm.sh to load JavaScript modules are at risk. This includes projects using modern JavaScript build tools and frameworks. Developers who have integrated esm.sh into their workflows should prioritize upgrading to the patched version.
• go / server:
find /path/to/esm.sh -type f -name '*.go' -print0 | xargs -0 grep -i 'include' -A 5• generic web:
curl -I https://your-esm-sh-instance/path/to/vulnerable/file?file=../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.11% (percentil 30%)
CISA SSVC
A mitigação primária é atualizar para a versão 136.0.1 do github.com/esm-dev/esm.sh. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao esm.sh e monitorar logs em busca de atividades suspeitas. Implementar validação rigorosa de todas as entradas de usuário pode ajudar a prevenir a inclusão de arquivos maliciosos. Em ambientes de produção, considere a implementação de um Web Application Firewall (WAF) para bloquear tentativas de exploração conhecidas. Verifique se as permissões de arquivo estão configuradas corretamente para evitar a escrita em locais sensíveis.
Actualice a una versión posterior a la 136 de esm.sh. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Consulte el advisory de seguridad en GitHub para obtener más detalles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59341 is a File Inclusion vulnerability in esm.sh, allowing attackers to potentially include arbitrary files and execute malicious code. It is rated HIGH severity (CVSS 7.5).
You are affected if you are using esm.sh versions prior to 136.0.1. Assess your dependencies and upgrade immediately if vulnerable.
Upgrade to version 136.0.1 or later of esm.sh. If immediate upgrade is not possible, implement input validation and consider WAF rules.
No active exploitation has been confirmed as of this writing, but the vulnerability's nature suggests potential for exploitation.
Refer to the esm.sh project's repository and release notes for the official advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.